Die europäische Wertpapieraufsichtsbehörde (ESMA) hat 2024 ein Public Statement bezüglich des Einsatzes von künstlicher Intelligenz (KI) bei der Erbringung von Wertpapierdienstleistungen für Privatkunden veröffentlicht (siehe: https://www.esma.europa.eu/sites/default/files/2024-05/ESMA35-335435667-5924__Public_Statement_on_AI_and_investment_services.pdf). Nachdem ESMA einige Beispiele für KI-Einsatzmöglichkeiten bei Wertpapierdienstleistungen aufzählt, weist sie auf einige damit potenziell einhergehende Gefahren (mangelnde Verantwortlichkeit und Aufsicht [over-reliance], Mangelnde Transparenz und Interpretierbarkeit, Sicherheit/Datenschutz, Robustheit/Zuverlässigkeit der Ergebnisse, Qualität der Trainingsdaten und algorithmische Verzerrungen [algorithmic bias]) hin.
Sodann zählt ESMA die für sie iZm KI wesentlichen MiFID II-Vorgaben auf:
- Handeln im besten Kundeninteresse und Kundeninformation
Zentral für den Einsatz von KI bei Wertpapierdienstleistungen ist für ESMA, wenig überraschend, die unbedingte Verpflichtung, im besten Interesse der Kunden zu handeln. Darüber hinaus sollten die Wertpapierfirmen die Rolle der KI bei den Entscheidungsprozessen im Zusammenhang mit der Erbringung von Wertpapierdienstleistungen klar, fair und nicht irreführend transparent machen. Bei Nutzung der KI für Kundeninteraktionen (Chatbots etc) sollen die beaufsichtigten Unternehmen laut ESMA den Kunden den Einsatz einer solchen Technologie während dieser Interaktionen transparent offenlegen.
- Organisatorische Anforderungen
Organisatorisch erwartet sich ESMA, dass das Leitungsorgan insbesondere ein angemessenes Verständnis dafür haben sollte, wie KI-Technologien innerhalb der Firma angewandt und genutzt werden. Zudem sollte eine angemessene Aufsicht über diese Technologien gewährleistet sein.
Wirksame Risikomanagement-Rahmenregelungen speziell für die Implementierung und Anwendung von KI sind für die ESMA von entscheidender Bedeutung. Wertpapierfirmen sollten regelmäßige KI-Modelltests durchführen und KI-Systeme überwachen, um potenzielle Risiken und Verzerrungen zu erkennen und abzumildern.
Beim Einsatz von KI-Tools in Anlageentscheidungsprozessen im Zusammenhang mit der Erbringung von Wertpapierdienstleistungen sollten die Wertpapierfirmen laut ESMA sicherstellen, dass die Daten, die als Input für die KI-Systeme verwendet werden, relevant, ausreichend und repräsentativ sind, um zu gewährleisten, dass die Algorithmen auf genauen, umfassenden und ausreichend breiten Datensätzen trainiert und validiert werden. Dabei betont ESMA das Erfordernis eines sorgfältigen Ansatzes bei der Datenbeschaffung und die Erstellung, das Training, das Testen, die Validierung und die kontinuierliche Analyse der Daten.
Wertpapierfirmen sollten gemäß ESMA auch robuste KI-Risikomanagementprozesse und -verfahren (Identifizierung, Bewertung und Steuerung der Risiken, die mit KI-gesteuerten Anlageentscheidungen verbunden sind, wie z. B. algorithmische Verzerrungen und Datensicherheitsschwachstellen) entwickeln und pflegen. Die ESMA erwartet, dass die Wertpapierfirmen umfassende aber zugleich verhältnismäßige Test- und Überwachungssysteme einführen, um die Leistung und die Auswirkungen von KI-Anwendungen auf ihr Dienstleistungsangebot zu bewerten. Wichtig ist auch, dass diese Prozesse dynamisch sind und eine rechtzeitige Anpassung an etwaige Änderungen (KI-Ergebnisse oder Entscheidungsmuster oder veränderte Marktbedingungen) ermöglichen. Darüber hinaus sollten klare Dokumentations- und Berichterstattungsmechanismen für KI-bezogene Risikomanagementpraktiken eingerichtet werden.
Bei Einsatz von KI-Tools von Drittanbietern weist ESMA auf die geltenden MiFID-II-Anforderungen in Bezug auf die Auslagerung kritischer und wichtiger betrieblicher Funktionen hin. Dabei muss ein angemessenes Maß an Sorgfaltspflicht bei der Auswahl solcher Anbieter entlang der Wertschöpfungskette und die Einführung angemessener Kontrollen sichergestellt sein.
ESMA stellt auch fest, dass in Anbetracht der Bedeutung, die MiFID II dem Wissen und der Kompetenz des Personals beimisst, das Kunden Informationen über Anlageprodukte zur Verfügung stellt, Wertpapierfirmen, die KI für solche Tätigkeiten einsetzen, dies mit erhöhter Wachsamkeit tun müssen, um das gleiche Qualitätsniveau zu gewährleisten.
ESMA fordert die Einführung solider Kontrollen, um ex-ante die Richtigkeit der Informationen zu gewährleisten, die an KI-Systeme geliefert und/oder von ihnen genutzt werden, um zu verhindern, dass falsche Informationen an Kunden weitergegeben oder irreführende Anlageempfehlungen gegeben werden. Darüber hinaus sollten Wertpapierfirmen hinreichend häufige ex-post-Kontrollen durchführen, um alle Prozesse zu überwachen und zu bewerten, bei denen Informationen direkt oder indirekt über KI-gesteuerte Mechanismen bereitgestellt werden. Diese nachträglichen Bewertungen sind von entscheidender Bedeutung, um die laufende Einhaltung der MiFID-II-Verpflichtungen zu gewährleisten und die Kunden vor der Verbreitung ungenauer oder irreführender Informationen über Anlageprodukte und -dienstleistungen zu schützen. Beim Einsatz von KI in diesem Zusammenhang sollten die Beaufsichtigten laut ESMA daher eine strenge Aufsicht walten lassen.
Auch das Bewusstsein innerhalb des Unternehmens, insbesondere bei den Mitarbeitern in den Kontrollfunktionen, ist für die ESMA entscheidend, um die Komplexität der KI-Integration zu bewältigen. Zu diesem Zweck fordert ESMA von Unternehmen angemessene Schulungsprogramme zum Thema KI für die betreffenden Mitarbeiter.
Die Schulungen sollten nicht nur die operativen Aspekte der KI abdecken, sondern auch ihre potenziellen Risiken, ethischen Überlegungen und regulatorischen Auswirkungen. Die zuständigen Mitarbeiter sollten mit dem Wissen ausgestattet sein, um Probleme wie Datenintegrität, algorithmische Verzerrungen und unbeabsichtigte Folgen von KI-Entscheidungen zu erkennen und anzugehen.
- Wohlverhaltensregeln
Die strenge Einhaltung der Wohlverhaltensregeln ist für ESMA von größter Bedeutung, insbesondere beim Einsatz von KI-Systemen für die Erbringung von Anlageberatung und Portfolioverwaltung. Dabei fordert ESMA ein erhöhtes Maß an Sorgfalt, insbesondere bei der Eignungsprüfung. Entscheidend ist für ESMA auch, dass robuste Kontrollen vorhanden sind, um sicherzustellen, dass die eingesetzten KI-Systeme zB hinsichtlich Product Governance oder Eignungsprüfung konzipiert und überwacht werden. ESMA erwartet sich von den beaufsichtigten Unternehmen auch strenge Qualitätssicherungsprozesse und Stresstests der iZm Wertpapierdienstleistungen eingesetzten KI-Systeme. Auch auf die Einhaltung der Datenschutz-Vorgaben drängt ESMA diesbezüglich.
- Führen von Aufzeichnungen
ESMA erwartet von den beaufsichtigten Unternehmen, dass sie umfassende Aufzeichnungen über den Einsatz von KI und über alle damit verbundenen Beschwerden von Kunden und potenziellen Kunden führen. Die Aufzeichnungen sind dabei so zu führen, dass sie den Einsatz von KI-Technologien in den verschiedenen Bereichen der Erbringung von Wertpapierdienstleistungen dokumentieren. Gemäß ESMA sollen diese Aufzeichnung etwa Entscheidungsprozesse, verwendete Datenquellen, implementierte Algorithmen und alle diesbezüglich vorgenommenen Änderungen umfassen.
KI ist längst auch bei der Erbringung von Wertpapierdienstleistungen angekommen. Die empirischen Befunde dazu sind bemerkenswert. Denn wissenschaftliche Studien wie die von Fieberg/Hornuf/Streich/Meiler belegen für KI-gestützte Anlageempfehlungen Renditen von bis zu 100 % innerhalb eines Jahres. Diese Erfolge stammen nicht von spezialisierten Finanz-KIs, sondern von generellen Sprachmodellen wie ChatGPT, Claude oder neuerdings DeepSeek (vgl im Detail: Fieberg/Hornuf/Streich/Meiler, Using large language models for financial advice (abrufbar unter: https://ssrn.com/abstract=4850039). Vor diesem Hintergrund könnte man sich indes die Frage stellen, ob Wertpapierfirmen dauerhaft auf KI-Unterstützung verzichten können, ohne ihren Kunden die bestmögliche Beratung vorzuenthalten.
Die ESMA hat frühzeitig erste Aussagen getroffen, worauf dabei aus aufsichtsrechtlicher Sicht vor allem zu achten ist. Dies ist für die beaufsichtigten Marktteilnehmer hilfreich. Das Public Statement wird in der juristischen Fachlit sogar als wegweisend angesehen, insbesondere da es zutreffend von einer neuen Marktrealität ausgeht. Wertpapierfirmen werden nämlich komplexe KI-Systeme nicht mehr selbst entwickeln, sondern von spezialisierten Technologieanbietern beziehen müssen. Diese pragmatische Sicht der ESMA trägt der technologischen Entwicklung Rechnung – die Komplexität moderner KI-Systeme übersteigt die Entwicklungskapazitäten einzelner Finanzinstitute bei Weitem. Zu begrüßen ist auch die differenzierte Position der ESMA zur Transparenz von KI-Systemen. Statt eine vollständige Nachvollziehbarkeit der Algorithmen zu fordern, setzt ESMA auf ein ausgewogenes Risikomanagement. Wertpapierfirmen müssen die Grenzen und Risiken der eingesetzten KI verstehen und kontrollieren, aber nicht jeden Rechenschritt nachvollziehen können. Kritischer scheint hier (leider) der Bericht der FMA vom Jänner 2025 (FMA, Austrian Digital Finance Landscape, 31, abrufbar unter: https://www.fma.gv.at/publikationen/digitalisierung-am-oesterreichischen-finanzmarkt/austrian-digital-finance-landscape-2024/).
Daneben müssen Beaufsichtigte auch auf den generellen Rechtsrahmen (EU-KI-VO) achten. Überraschend ist diesbezüglich, dass die EU-KI-VO die automatisierte Anlageberatung – anders als etwa die Entscheidung über Versicherungsprämien – nicht als Hochrisiko-Anwendung erfasst. Dies obwohl natürlich erhebliche finanzielle Risiken für Verbraucher bestehen. Gleichzeitig erbringen große KI-Anbieter faktisch erlaubnispflichtige Anlageberatung, wenn ihre Systeme konkrete Empfehlungen zu spezifischen Finanzinstrumenten aussprechen und dabei individuelle Kundenumstände berücksichtigen, was die Aufsichtsbehörden auf den Plan rufen sollte. Aufgrund der Dynamik der technischen Entwicklung werden höchstwahrscheinlich zahlreiche weitere Regularien folgen. ESMA fordert daher die Förderung einer Unternehmenskultur, die kontinuierliches Lernen und kontinuierliche Anpassung fördert.
Sebastian Sieder